E-Mail Archivierung über Microsoft Tools und private … mit... · um eine revisionssichere...
Transcript of E-Mail Archivierung über Microsoft Tools und private … mit... · um eine revisionssichere...
Netmail EMEA GmbH | Itzbachweg 16-20 | 65510 Idstein
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein [email protected] +49 6126 5019 590 www.netmail.com/de
Netmail EMEA GmbH – Revisionssichere E-Mail-Archivierung
E-Mail-Archivierung über Microsoft Tools &
private E-Mail-Nutzung
Information über den existierenden Konflikt zwischen privater E-Mail-Nutzung am
Arbeitsplatz und gesetzeskonformer E-Mail-Archivierung mit Microsoft Bordmitteln
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
Hintergrund
Gerade vor dem Hintergrund der seit dem 1. Januar 2017 möglichen
strafrechtlichen Konsequenzen aus der Nicht-Einhaltung der GoBD sowie der am
25. Mai 2018 wirksam werdenden EU-DSGVO machen sich zunehmend mehr
Unternehmen Gedanken über die Archivierung Ihrer Mails.
Viele Unternehmen greifen daher zur Archivierung über Microsoft Bordmittel,
um eine revisionssichere E-Mail-Archivierung umzusetzen. Bei vielen
Lizenzmodellen von Microsoft ist das zusätzliche Archiv-Postfach bereits
integriert und es scheint, als könnten Unternehmen eine gesetzeskonforme
E-Mail-Archivierung schnell und unkompliziert umsetzen.
Allerdings lohnt hier ein detaillierterer Blick auf die Archivierung über Microsoft.
Insbesondere bei privater E-Mail-Nutzung am Arbeitsplatz sollten Unternehmen
hellhörig werden und sich genauer informieren. Dieses Dokument soll Ihnen
einen Überblick über die wesentlichen Risiken und mögliche Lösungsvorschläge
an die Hand geben.
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
Aktuelle Situation vieler Unternehmen
Viele Unternehmen setzen heute noch keine Archivlösung ein und denken über mögliche
Lösungen nach, um für die geschäftsrelevante E-Mail-Korrespondenz eine
gesetzeskonforme Archivlösung umzusetzen. Ziel ist es, gemäß der GoBD, eine
lückenlose und vollständige Archivierung über 10 Jahre hinweg umzusetzen. Diese
Aufbewahrungsfrist gilt für sämtliche geschäftsrelevante Kommunikation, sodass
Unternehmen mit dieser Dauer auf der sicheren Seite stehen.
Weit verbreitet hatte sich die Annahme, dass die Sicherung über PST-Dateien eine
sinnvolle Alternative sei. Vielmehr stellen PST-Dateien jedoch ein relevantes Risiko in
Bezug auf die Datensicherheit dar. Somit sind die Anforderungen auf Revisionssicherheit
gemäß der GoBD nicht erfüllt. Unternehmen benötigen daher nicht nur ein Tool zur
E-Mail-Archivierung, sondern zusätzlich ein Tool, das sämtliche lokal abgelegte PST-
Dateien einsammelt und in ein entsprechendes Archiv integriert.
Eine weitere Problematik ist die private Nutzung des E-Mail-Postfaches. Viele
Unternehmen erlauben oder dulden zumindest eine solche private Nutzung. Damit fallen
sie unter das Telekommunikationsgesetz und sind gegenüber Ihren Mitarbeitern zur
Wahrung des Fernmeldegeheimnisses verpflichtet, das über das Angestelltenverhältnis
hinaus Gültigkeit bewahrt.
Doch welche Archivlösung wird all diesen Anforderungen gerecht? Was müssen
Unternehmen bei der Archivierung mit Microsoft Bordmitteln beachten? Und wie kann
eine gesetzeskonforme E-Mail-Archivierung umgesetzt werden? Weitere Informationen
und Antworten finden Sie auf den nachfolgenden Seiten dieses Dokuments.
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
Gesetzliche und regulatorische Anforderungen
Nach verschiedenen Gesetzen, darunter das HGB, die GoBD sowie das UStG, sind
Unternehmen dazu verpflichtet geschäftsrelevante Dokumente bis zu 10 Jahre lang
aufzubewahren und zu archivieren.1 Die Archivierung muss in Deutschland erfolgen und
hat bestimmte Anforderungen zu erfüllen.
Demnach sind Nachrichten revisionssicher zu archivieren, d. h. ohne Informationsverlust
bzw. vor Verlust und unberechtigten Zugang zu schützen. Darin implizit eingeschlossen
ist die Unveränderbarkeit der Information bzw. dass Änderungen dokumentiert werden
müssen. Im Sinne der Prüfbarkeit ist weiterhin auf eine vollständige und lückenlose
Archivierung zu achten. Eine Verfahrensdokumentation gewährleistet die
Nachvollziehbarkeit, dass diese Vorgaben eingehalten werden. Die Lesbarkeit der Daten
über die gesamte Archivierungsdauer hinweg stellt sicher, dass jederzeit eine maschinelle
Auswertbarkeit der Daten erfolgen kann und die Daten bei Prüfungen für Datenexporte
zur Verfügung stehen.
Im Hinblick auf die Nutzung privater Mails sind diese von der Regelarchivierung
auszuschließen. Mit Blick auf die ab dem 25. Mai 2018 wirksam werdende EU-DSGVO ist
bei der Verarbeitung personenbezogener Daten weiterhin darauf zu achten, dass
entsprechende Nachrichten bzw. Inhalte jederzeit auffindbar und auf Verlangen auch
löschbar sind.
Für Unternehmen, die unter das KWG fallen, gibt es nochmal zusätzlich dokumentiert eine
Verpflichtung zur vollständigen Dokumentation der Geschäftstätigkeit, wodurch die
lückenlose Überwachung durch die Bundesanstalt für ihren Zuständigkeitsbereich
gewährleistet werden soll. Das KWG weist neben einer separaten Aufbewahrungsfrist von
mindestens fünf Jahren auf § 257 Absatz 4 des HGB sowie § 257 Absatz 3 und 5 des HGB
hin und unterstreicht somit die darin geforderte Aufbewahrungsfrist.
1 Eine ausführliche Betrachtung ist in den Dokumenten „GOBD Netmail Archive Whitepaper”
sowie „EU-DSGVO Netmail Archive Whitepaper“ auf unserer Website dargestellt.
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
Archivierung mit Microsoft Bordmitteln
Um einen Überblick über die Vor- und Nachteile der Archivierung mit Microsoft
Bordmitteln zu geben, wird nachfolgend kurz auf die Einrichtung des Archivs sowie auf
weitere Einzelaspekte bei der Überlegung zu einer Archivlösung eingegangen. Dieser
Überblick soll Unternehmen mögliche relevante Gesichtspunkte bei der Entscheidung zu
einer Archivlösung aufzuzeigen und basiert auf den Erfahrungswerten, die Netmail bei
Kunden gemacht hat.
Einrichtung
Mit Nutzung der Microsoft Exchange Bordmittel für eine Archivierung der Mails ist eine
schnelle Einrichtung und Aktivierung pro Anwender sowie eine Integration in den Outlook
Client ohne Veränderung am Client möglich. Dem Anwender steht demnach eine
gesonderte Mailbox zur Archivierung zur Verfügung, die auch über das Internet erreichbar
ist, z. B. per OWA. Um einen Überblick über die Vor- und Nachteile der Archivierung mit
Microsoft Bordmitteln zu geben,
Integration von PST-Dateien
Die Annahme, dass die Sicherung über PST-Dateien eine sinnvolle Alternative zu einem
Archiv sein könnte, ist leider falsch. Mit der Nutzung von PST-Dateien ergibt sich eine
enorme Sicherheitslücke, z. B. durch die Möglichkeit der Mitnahme von PSTs durch
Mitarbeiter. Unter der Nutzung der Archivlösung von Microsoft müssen demnach die
alten PST-Dateien betrachtet und ins Archiv integriert werden. Microsoft stellt hierfür
keine Toolmittel zur Verfügung. Für eine vollständige Archivierung sind Unternehmen
daher gezwungen ein anderes Tool für die Einsammlung und Integration dieser
persönlichen Archive zu nutzen.
Lizenzen zur Nutzung der Archivierung
Innerhalb des Exchange Systems ergibt sich für das Unternehmen bzw. den ausführenden
Dienstleister die Notwendigkeit einer höheren Datenbank Speicherkapazität. Dies ist
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
erforderlich, da die E-Mails 10 Jahre aufzubewahren sind und ein entsprechendes
Datenwachstum über diesen Zeitraum mit einzuplanen ist. Um die Archivlösung von
Microsoft nutzen zu können, müssen abhängig von der jeweils genutzten Lizenz
zusätzliche Lizenzen erworben werden. Beispielsweise müssen Exchange-Benutzer mit
einer Standard-CAL zusätzlich eine Exchange Enterprise-CAL und Office Plus Lizenz
erwerben. Im E3 Plan oder aber bei Exchange Online Plan 2 ist das Archiv bereits
standardmäßig enthalten.
Regelbasierte und manuelle Archivierung
Mails aus dem Posteingang oder Systemordern können entsprechend von
Standardregeln ins persönliche Archiv verschoben werden. Darüber hinaus hat der
Anwender immer auch manuell die Möglichkeit Mails ins persönliche Archiv zu legen.
Für Unterordner sind diese Standardregeln nicht anwendbar (siehe Abbildung 1). Hier
muss der Anwender entsprechend eigenverantwortlich tätig werden und Mails manuell
archivieren.
Abbildung 1
Viele Unternehmen möchten die Verantwortung über die Archivierung jedoch nicht den
Anwendern überlassen und streben eine automatisierte Archivierung mit
unternehmensweiten Archivierungsrichtlinien an. Dies ist mit der Lösung von Microsoft
so nicht umsetzbar.
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
Revisionssichere Archivierung mit ‚Litigation Hold‘
Mit der Funktion ‚Litigation Hold‘ oder der Einführung von ‚Journal Mailboxen‘ bietet
Exchange die Möglichkeit einer gesetzeskonformen Archivierung. Das
Wirtschaftsprüfungs- und Beratungsunternehmen KPMG testiert die E-Mail-Archivierung
mit der Hilfe von Exchange Online oder Exchange Server 2013 in einem Gutachten als
revisionssicher, sofern sämtliche Funktionen korrekt angewendet werden.2
Ist ‚Litigation Hold‘ aktiviert, werden alle Mails ausnahmslos über einen zu definierenden
Zeitraum hinweg, z. B. 10 Jahre entsprechend der Aufbewahrungsfrist, gespeichert. Auch
private Mails von Mitarbeitern sowie Mails mit sensiblen Inhalten werden dann archiviert.
Dabei spielt es keine Rolle, ob diese Mails ggf. in gesonderte Ordner klassifiziert abgelegt
wurden.
Sowie diese Funktion deaktiviert ist, werden u. U. alte Mails gelöscht. Dies könnte
beispielsweise dann relevant werden, wenn Mails von Bewerbern nach einer gewissen
Zeit gelöscht werden müssen und die Funktion daher zu deaktivieren ist.
Unter diesen Voraussetzungen kann das Archiv also gar nicht auf unbestimmte Zeit auf
‚Litigation Hold‘ gesetzt werden. Es wird immer wieder Nachrichten geben, die zu löschen
sind.
Da die Erlaubnis oder zumindest die Duldung der privaten Nutzung des E-Mail-Postfaches
bei Unternehmen weit verbreitet ist, möchten wir hierauf einen besonderen Fokus legen.
Denn sofern die Mailboxen für eine lückenlose Archivierung gemäß GoBD auf ‚Litigation
Hold‘ stehen, werden ausnahmslos alle E-Mails gespeichert.
2 https://cloud.telekom.de/blog/e-mail-archivierung-mit-exchange/
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
Abbildung 2
Private Nutzung des E-Mail-Postfaches unter Microsoft
Da für eine lückenlose Archivierung die Funktion ‚Litigation Hold‘ oder ‚Journaling‘ aktiviert
sein müsste und demnach alle E-Mails ausnahmslos gespeichert würden, ist eine
Differenzierung von E-Mails in Bezug auf personenbezogene oder private Daten bei der
Exchange Archivierung nicht möglich. Da als ‚privat‘ markierte Nachrichten von der
geschäftlichen Regelarchivierung auszuschließen sind, bedarf es demnach einer
Unterbindung der Privatnutzung per Betriebsvereinbarung.
Auch das Gutachten der KPMG kommt zu dem Entschluss, dass einer gesetzeskonformen
Archivierung nur dann nichts im Wege stehe, wenn eine private Nutzung des E-Mail-
Postfaches ausgeschlossen ist. In dem Gutachten heißt es: „Sollte man hingegen dem
Standpunkt folgen, dass durch den Arbeitgeber auf dem E-Mail-Server gespeicherte
E-Mails nicht dem Fernmeldegeheimnis unterliegen, richtet sich die Zuverlässigkeit der
Archivierung weiterhin nach den Vorschriften des BDSG.“3
3 Microsoft Deutschland GmbH: Bericht “Compliancemanagement und E-Mail-Archivierung mit
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
Doch die reine Unterbindung der Privatnutzung alleine reicht nicht aus. Gemäß eines zu
definierenden Prozesses muss die Einhaltung eines solchen Verbots regelmäßig und per
Zufallsauswahl überprüft werden. Die Zufallsauswahl muss wiederum belegbar sein,
damit sichergestellt ist, dass die Überprüfung nicht zielgerichtet erfolgt. Hierzu ist die
Einführung einer entsprechenden Software ratsam, die genau diese Anforderungen
erfüllt und umsetzt.
Auch wenn kein Mitarbeiter ein generelles Recht auf die private E-Mail-Nutzung am
Arbeitsplatz hat, so hat sich heutzutage zumindest ein gefühlter Anspruch darauf
eingebürgert. Im Zeitalter, in dem sogenannte „Shit Storms“ schnell die Runde machen
und sehr schnell geschäftsschädigende Ausmaße erreichen, sollte daher die Gefahr
unzufriedener Mitarbeiter bei einer solchen Einschränkung nicht unterschätzt werden.
Separate Betrachtung sensibler Daten
Unter der Voraussetzung einer Aktivierung von ‚Litigation Hold‘ oder ‚Journaling‘ für eine
vollständige Archivierung soll ein kurzer Blick auf sogenannte sensible Daten geworfen
werden. Sofern alle E-Mails ausnahmslos gespeichert würden, ist auch eine
Differenzierung von E-Mails in Bezug auf sensible Daten, wie beispielsweise Daten mit
Personenbezug gemäß EU-DSGVO nicht möglich.
Unter sensiblen Daten sind in diesem Zusammenhang kritische Daten zu verstehen, die
aus der Regelarchivierung auszuschließen sind und nur unter Zusammenschluss eines
entsprechenden Gremiums zugänglich sein sollten. Hierunter können Daten der
Vorstandkommunikation oder aus der Kommunikation mit dem Betriebsrat fallen. Auch
personenbezogene Daten könnten per Definition einer separierten Speicherung
unterliegen, die nur gesondert zugänglich sind.
Eine solche Differenzierung ist bei einer Archivierung mit Microsoft Bordmitteln nicht
möglich, da alle Mails „in einen großen Topf“ archiviert werden.
Microsoft Exchange Server 2013: Eine Analyse der wichtigsten Funktionen nach deutschem
Handels- und Steuerrecht“, Unterschleißheim, Dezember 2012
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
Integration von Drittlösungen in das Archiv
Bei der weiteren Betrachtung hinsichtlich einer Entscheidung für oder gegen das Archiv
mit Microsoft Bordmitteln sollten Unternehmen ihre genutzten Systeme genauer unter
die Lupe nehmen. Für eine GoBD-konforme Archivierung müssen sämtliche
geschäftsrelevante E-Mails aufbewahrt werden. Daher sollten Unternehmen sich einen
Überblick verschaffen, welche Systeme neben dem E-Mai-Server von Microsoft E-Mails
versendet.
Gerade Unternehmen, die lange am Markt agieren, nutzen häufig auch andere Systeme
für Teilbereiche des Geschäftsprozesses. Separate Systeme, die beispielsweise das
Mahnwesen oder andere Teilbereiche managen, versenden unabhängig vom E-Mail-
System Nachrichten bzw. in diesem Fall Mahnungen per Mail an Kunden. Diese Mails sind
gemäß GoBD und somit für eine GoBD-konforme Archivierung selbstverständlich
aufzubewahren. Doch stellt Microsoft keine Möglichkeiten zur Verfügung, um
Drittlösungen in das Archiv zu integrieren. Bei Prüfungen wären diese Mails demnach
nicht auffindbar und die Archivierung somit unvollständig.
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
Zusammenfassung
Um Ihnen die Vor- und Nachteile der Archivierung mit Microsoft Bordmitteln
zusammenfassend darzustellen, haben wir die erläuterten Aspekte in der nachfolgenden
Matrix gekennzeichnet:
Integration von PST-Dateien
Software zur Integration von PST-Dateien
Lizenzen zur Nutzung der Archivierung
Unternehmensweite regelbasierte Archivierung
Manuelle Archivierung
Revisionssichere Archivierung mit ‚Litigation Hold‘
Flexible Anpassung der Aufbewahrungsdauer
Private Nutzung des E-Mail-Postfaches unter Microsoft
Separate Ablage sensibler Daten
Integration von Drittlösungen in das Archiv
möglich teilweise nötig nicht Bestandteil der Lösung
Für einige Unternehmen mag eine Archivierung mit Microsoft Bordmitteln demnach
durchaus Sinn ergeben. Bei zusätzlichen Anforderungen an eine E-Mail-Archivierung, wie
zu integrierenden Drittlösungen oder dem Wunsch nach einer automatisierten
Archivierung entlang von unternehmensweit definierten Richtlinien, um so den
Anwender zu entlasten oder der erlaubten Nutzung privater Mails, ist diese Lösung nicht
empfehlenswert. In diesen Fällen raten wir zur Nutzung einer Enterprise Archivlösung,
wie sie Netmail anbietet.
Für ein unverbindliches Beratungsgespräch stehen wir Ihnen gerne zur Verfügung.
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
Weitere Informationen zu Netmail:
Netmail ist ein Softwareunternehmen, das Lösungen zu verschiedenen Themen des
Datenmanagements anbietet. Im Mittelpunkt der Lösungsansätze steht neben den
technischen Komponenten, immer der Kunde als Endanwender. Der personelle Faktor ist
somit ein wesentlicher Bestandteil bei technischen Änderungen.
Kernkompetenzen von Netmail sind die Migration von Mailsystemen, die Archivierung von
Daten sowie Themen rund um Anhangsmanagement und Verschlüsselungstechnologien.
Auszeichnungen für unsere Lösungen, wie der 1. Platz in der Kategorie „Exchange
Archivierung“ sowie in der Kategorie „Exchange Anti-Spam“ des MSExchange.org Readers’
Choice Awards durch MS.Exchange.org, bestätigen uns den Erfolg.
Gemeinsam mit Partnern bietet Netmail vollumfängliche Lösungen, die angefangen bei
Beratungen und Analysen bis hin zur Umsetzung und Projektabnahme durch den Kunden
auch Schulungen und Begleitdokumente für Mitarbeiter enthalten. Netmail versteht sich
als gesamthafter Ansprechpartner für Ihre Kunden.
Über 3.000 Kunden im Fokus unseres typischen Kundenklientels zwischen 250 und 30.000
Mitarbeitern schätzen uns seit 2009 als kompetenten und zuverlässigen Partner. Dabei
handelt es sich um mittelständische Firmen, Unternehmen der Großindustrie,
Finanzdienstleister ebenso wie Einrichtungen der öffentlichen Verwaltung.
Von unserem europäischen Unternehmenssitz im hessischen Idstein betreuen wir unsere
Kunden in ganz Deutschland. Darüber hinaus arbeiten wir auch mit Unternehmen aus
Österreich, der Schweiz und den Niederlande sowie aus anderen Ländern des
Wirtschaftsraums EMEA zusammen. Unsere Mitarbeiter verfügen über langjährige
Erfahrungen in der IT und haben sich im Bereich des Datenmanagements spezialisiert,
um für unsere Kunden hochqualifizierte und kompetente Ansprechpartner zu sein.
Weitere Informationen über uns und unsere Produkte finden Sie auf unserer Webseite:
https://www.netmail.com/de
Netmail EMEA GmbH Itzbachweg 16-20 65510 Idstein
Sie haben weitere Fragen?
Wenden Sie sich gerne an unser Team.
Netmail EMEA GmbH
Itzbachweg 16-20
65510 Idstein
E-Mail: [email protected]
Telefon: +49 6126 5019 500
www.netmail.com/de
Rechtlicher Hinweis: Dieses Dokument dient lediglich der Information, stellt keine
Rechtsberatung dar und verfolgt keinen Anspruch auf Vollständigkeit. Eine Gewähr und
Haftung für die Richtigkeit aller Angaben wird nicht übernommen.